时间:2016-06-24 09:56 文章来源:http://www.lunwenbuluo.com 作者:李建 点击次数:
端口流量检测是通过UDP或TCP数据包的源、目的端口信息检测HTTP、SMTP、HTTPS等常见信息流,且成熟的P2P协议均使用固定端口通信、端口流量易于检测、耗时短。早期僵尸网络曾使用现有P2P协议端口作为其通信协议端口,此类流量易于检测。随着技术的进步,大多僵尸网络已变更其端口通信方式,使得用固定端口方法检测僵尸网络变得困难,此方法可作为僵尸网络检测的初步手段,要判定僵尸网络还需结合其他方法。
过滤网络内外部通信的数据流并做聚类分析,生成一些P2P节点聚类群。去掉使用相同且P2P协议为已知的聚类群数据;将剩余数据流使用信息流特征过滤方法重新做聚类分析,并对所获得的聚类群做统一标注n1,n2,…nk,以便后期继续深入检测。
2.3DNS异常流量检测
僵尸网络为避免暴露自身通常不会使用固定IP与C&C(命令与控制)通信,现阶段通信方式主要为DNS(域名解析)方式,通过请求解析命令遥控服务器IP。其组网特点决定产生的DNS流量相比较于正常网络存在较大区别,可通过此方法检测其是否为僵尸网络。
为更好地隐蔽僵尸网络,DNS攻击者主要使用DDNS(动态域名)技术,结合flux技术、Fast-flux和Domain-flux技术隐身于控制端服务器。Flux网络IP数量多、变化快,且域名解析记录在DNS服务器中存留时间(TTL)短,一般小于300s。Fast-flux网络由被控主机系统构成,利用动态域名的动态代理技术,隐藏其主机于flux-agent(服务代理)背后提供服务,Fast-flux可为一个合法域名分配多个IP,并以每3分钟的速度更替IP。Domain-flux域名时有变化,但IP固定,通过快速变换域名提高信道控制能力。
Schonewille和VanHelmond提出检测DNS流量中域名解析错误(NXDOMAIN)信息来检测僵尸网络域名[9]。僵尸网络的特点导致僵尸主机频繁更换域名且使用不同IP,造成大量访问域名无效,通过检测IP数据流量变化可检测出被感染的僵尸主机。
DNS异常流量检测分为:DDOS攻击检测、垃圾邮件检测等方法。作为网络攻击者,僵尸网络使用P2P协议主要是为了实现快速通信而非文件的传输,在P2P使用上与正常传递文件相比,数据流量和集中程度都有所不同。
2.3.1DDOS攻击检测
DDOS(分布式拒绝服务)攻击通过大量消耗网络资源,使得网络服务器或主机不能响应用户端请求。近年来,DDOS攻击事件增多,攻击流量明显增大,2015年9月22日魅族官网遭受混淆型DDOS攻击,长达40分钟无法对外提供服务,瞬时并发流量达7G/S[10]。
当网络节点遭受DDOS攻击时网络流量大幅增长,新出现的源IP大量增加。也有例外情况,当大多数人就某个热点话题进行讨论或某个特殊时段集中访问某个网站时,也会出现网络流量大幅增长情况,仅据此判断受到DDOS攻击并不完全正确。但正常访问高峰不会有大量新IP出现,且DDOS攻击网络时可伪造数量众多的源IP,因此,网络中流量大幅增长和新的源IP大量增加是网络遭受DDOS攻击的明显特征,可判定为遭受僵尸网络攻击。
2.3.2垃圾邮件检测
垃圾邮件检测是检测僵尸网络攻击的主要方法之一,被攻击网络会随机的快速发送大量未经请求的邮件,此过程中,受感染节点充当垃圾信息传播者,发送大量邮件但很少接收邮件[8]。邮件系统常用的传输协议是SMTP协议,该协议提出源节点到目的节点的传输规则,用来控制邮件的传输中转方式,用于邮件服务器之间数据传输。僵尸网络控制某主机后,会在其内部搭建小型邮件服务器,并在一段时间内使用SMTP协议给用户邮箱发送大量邮件。2014年第四季度中国反垃圾邮件状况调查报告显示,用户电子邮箱收到的邮件数量为35.0封/周,其中垃圾邮件为14.3封/周,占比41.0%。
僵尸网络控制主机具有很强的隐秘性,主机通过不同的受控服务器向终端用户邮箱发送大量垃圾邮件,此时出现一个源IP对应多个目的IP的情况。因此,可从调用SMTP协议发送邮件过程判断其是否发送垃圾邮件,进而定位垃圾邮件源头。
3防范策略
鉴于僵尸网络的危害性巨大,防范措施有两方面。一方面针对网络防御而言,通过加强网络主机的防御级别以防感染僵尸程序,及时更新杀毒软件库、删除已经感染的僵尸程序,包括使用恶意软件移除工具检查并移除之,且遵循安全策略、使用防火墙拦截、DNS阻断、更新补丁、使用有授权的软件产品等防御手段。另一方面是针对控制和打击僵尸网络,可通过破解僵尸网络域名算法预先注册其域名,直接接管在用的僵尸网络;也可利用僵尸网络的命令和控制信道摧毁其网络,或使之不能危害Internet正常网络环境。
4结束语
本文探讨了P2P协议僵尸网络的流量检测技术并提出具体检测方法。通过P2P流量预处理、流量端口检测相结合可初步检测出可疑流量,再针对可疑流量做DNS异常流量检测确定其是否为僵尸网络,此方法对检测僵尸网络有一定效果。从僵尸网络结构来看,集中式僵尸网络检测技术较为成熟,而分布式P2P协议的僵尸网络由于其没有集中控制节点、结构分散,检测相对困难。后续应在DNS异常流量检测方面做进一步深入的探讨,以期能在检测的准确性和速度方面有所突破。
参考文献(References):
[1]中国互联网络信息中心.CNNIC发布第36次《中国互联网络发展状况统计报告》[DB/OL].http://www.cac.gov.cn/2015-07/23/c_1116018119.htm,2015.7.23.
[2]CNCERT.2014年中国互联网网络安全报告[DB/OL].http://www.cert.org.cn/publish/main/46/2015/20150602085719088775378/20150602085719088775378_html,2015-06-02.
[3]张冰,杜国琦,李静.僵尸网络发展新趋势分析[J].电信科学,2011.2:40-41
[4]StegginkM,IdziejczakI.DetectionofPeer-to-PeerBotnets[J].UniversityofAmsterdam,2008.2(12):103-110
[5]张潇丹,李俊.一种基于云服务的网络测量与分析架构[J].计算机应用研究,2012.29(2):725-729,733
[6]包铁,刘淑芬.基于规则的网络数据采集处理方法[J].计算机工程,2007.33(1):101-103
[7]谢喜秋,梁洁,彭巍.网络流量采集工具的分析和比较[J].电信科学,2002.4:64-66
[8]SroufeP,PheithakkitnukoonS,DantuR,etal.EmailShapeAnalysisforSpamBotnetDetection[C].ConsumerCommunicationandNetworkingConference,2009:81-89
[9]A.SchonewilleandDJ.VanHelmond.TheDomainNameServicesasanIDS[D].Netherlands:UniversityofAmsterdam,2010.
[10]Yesky天极新闻.魅族官网在发布会前夕遭DDOS攻击[DB/OL].http://news.yesky.com/167/97676167.shtml,2015-9-23.
联系方式
随机阅读
热门排行